Бэкдор Tidserv использует платформу, разработанную Google

Бэкдор Tidserv использует платформу, разработанную Google

Корпорация Symantec сообщает подробности о сложной активной угрозе Tidserv, которая использует функционал руткита, вследствие чего обнаружить ее крайне сложно. Для функционирования вредоносной программе необходима среда Chromium Embedded Framework, поэтому она дополнительно закачивает на заражённый компьютер порядка 50 Мб.

Tidserv (или TDL) – это сложная угроза, которая маскируется себя в системе с помощью руткит-технологий. Будучи обнаруженной еще в 2008 году, она остается активной до сих пор. Распространяемый сейчас в интернете вариант Tidserv использует в своей работе программную платформу Chromium Embedded Framework (CEF). И хотя это не первый случай, когда злоумышленники используют легитимное ПО в своих целях, в данном случае для корректной работы вируса требуется загрузка всех компонентов среды общим размером в 50 Мб, что довольно необычно для вредоносных программ.

Backdoor.Tidserv имеет компонентную структуру, что позволяет ему подгружать новые модули и сразу же встраивать их в процессы ОС. В более ранней версии Tidserv модуль serf332 использовался для сетевых операций, таких как, например, автоклики и рекламные всплывающие окна. Для их реализации используются COM-объекты открытия страниц и анализа их содержимого. Недавно эксперты Symantec обнаружили, что Tidserv начал скачивать для использования новый модуль с названием cef32. Этот новый модуль имеет тот же функционал, что и serf332, однако он также требует наличия библиотеки cef.dll, являющейся частью CEF. Как правило, это означает, что на зараженную систему требуется загрузить все компоненты CEF объёмом около 50Мб.

За период с 4 по 21 марта число скачиваний CEF значительно возросло, и хотя специалисты не могут утверждать, что это результат активности Tidserv, однако, если этот рост действительно связан именно с атакой, то можно получить представление о её масштабах.

 

Рисунок 1. Статистика скачиваний CEF за период с 4 по 21 марта


CEF предоставляет функции управления Web-браузером для встраивания его в приложения. Библиотеки CEF обеспечивают весь спектр необходимых для работы браузера функций, таких как разбор HTML-кода или разбор и запуск JavaScript.

Использование программной среды CEF позволяет Tidserv снять с себя реализацию большей части своего «браузерного» функционала и возложить его исполнение на библиотеки CEF. Таким образом, модули вредоносной программы становятся меньше, а расширять их функционал оказывается проще. Оборотной же стороной медали стала необходимость загрузки библиотеки cef.dll. Ссылка для загрузки zip-архива с CEF «вшита» непосредственно в исполняемый код модуля, и любое изменение источника, таким образом, потребует обновления и самого модуля.

Авторы Chromium Embedded Framework (CEF) ни в коей мере не рассчитывали на использование своего продукта в криминальных целях, и предпринимают и будут предпринимать все возможные действия, чтобы пресечь подобные попытки. Именно поэтому с сайта Google Code была удалена библиотека, использованная злоумышленниками при создании этого вируса, и изучаются способы её предоставления пользователям лишь в максимально защищённом от подобных угроз исполнении.

Сеть стала фундаментом бизнеса: главные темы «Сетевого лета 2026»

В Москве прошёл второй технический опен-эйр «Сетевое лето 2026». Мероприятие состоялось 2 июля в «Березы Парке» и собрало более 800 участников: сетевых инженеров, архитекторов, руководителей технических направлений и ИТ-директоров.

Главной темой стало то, как сегодня развиваются корпоративные и операторские сети в России. Участники обсуждали импортозамещение, Telco Cloud, SD-WAN, 5G, сетевую безопасность, тестирование оборудования и применение ИИ в работе инженеров.

На дискуссии об управлении ИТ в условиях изменений представители «Инфосистемы Джет», Yandex Infrastructure, Финтех-Платформы и АО «НСИС» отметили, что проблема импортозамещения не сводится к наличию отечественного оборудования. На практике компаниям приходится выбирать между большим числом решений, планировать миграцию и думать о дальнейшей поддержке инфраструктуры.

 

Отдельно говорили об ИИ. Участники сошлись в том, что бизнес готов вкладываться в такие проекты, если видит понятный и измеримый результат в обозримые сроки.

В блоке о Telco Cloud архитекторы МТС, Билайна и «Инфосистемы Джет» обсудили развитие операторских облаков и сетевых технологий. Тема 5G вызвала отдельную дискуссию: техническая готовность есть, но массовое внедрение зависит от регулирования и выделения частот. Для бизнеса особенно важен standalone 5G со слайсингом, который позволяет выделять отдельные сегменты сети под разные задачи.

 

В инженерном треке разобрали RoCEv2, кластеризацию NGFW, PoE, мультивендорные NMS, адаптацию сети под приложения и особенности отечественных коммутаторов. На мастер-классах участники настраивали маршрутизаторы EcoRouter, тестировали RA VPN в PT NGFW, работали с RoCEv2 и разворачивали IP-фабрику Eltex.

 

Отдельный практический блок был посвящён ИИ-ассистенту для сетевых инженеров: на стенде проверяли, как он анализирует конфигурационные файлы, строит схему сети и ищет уязвимости.

Также на площадке работала демо-зона с российским сетевым оборудованием и лаборатория с практическими заданиями по настройке инфраструктуры разных вендоров.

RSS: Новости на портале Anti-Malware.ru